Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Управление обнаруженными в частном порядке уязвимостями системы безопасности

Исправление и раскрытие уязвимости системы безопасности7 из 16 в схеме обучения
Следующая:Настройка частных отчетов об уязвимостях для репозитория

В этой статье

Хранители репозиториев могут управлять уязвимостями системы безопасности, о которых им сообщили частные службы безопасности для репозиториев, в которых включены частные отчеты об уязвимостях.

Кто может использовать эту функцию

Anyone with admin permissions to a repository can see, review, and manage privately-reported vulnerabilities for the repository.

Владельцы и администраторы общедоступных репозиториев могут включить частные отчеты об уязвимостях в своих репозиториях. Дополнительные сведения см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

Сведения о конфиденциальном сообщении об уязвимости системы безопасности

Отчеты о частных уязвимостях позволяют исследователям безопасности сообщать об уязвимостях непосредственно с помощью простой формы.

Когда исследователь безопасности сообщает об уязвимости в частном порядке, вы получите уведомление и можете принять ее, задать дополнительные вопросы или отклонить ее. Если вы принимаете отчет, вы готовы к совместной работе над исправлением уязвимости в частном порядке с исследователем по безопасности.

Управление уязвимостями системы безопасности, о которых сообщается в частном порядке

Когда новая уязвимость сообщается в частном порядке в репозитории, где включены отчеты о частных уязвимостях, GitHub Enterprise Cloud уведомляет поддержку репозитория и менеджеров безопасности, если:

  • Они следят за репозиторием для всех действий.
  • Для репозитория включены уведомления.

Дополнительные сведения о настройке параметров уведомлений см. в разделе Настройка частных отчетов об уязвимостях для репозитория.

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность. Снимок экрана: заголовок репозитория с вкладками. Вкладка "Безопасность" выделена темно-оранжевым контуром. 1. На левой боковой панели в разделе "Отчеты" щелкните Рекомендации.

  2. Щелкните рекомендацию, которую вы хотите просмотреть. Рекомендация, о чем сообщалось в частном порядке, имеет состояние Triage.

    Снимок экрана: список рекомендаций по безопасности.

  3. Внимательно просмотрите отчет, а затем выберите, как продолжить.

    • Чтобы совместно работать над исправлением в частном режиме, щелкните Запустить временную частную вилку, чтобы создать место для дальнейшего обсуждения с участник. Это не изменяет состояние предлагаемых рекомендаций с Triage.

    • Чтобы принять обнаруженную уязвимость, нажмите кнопку Принять и открыть как черновик , чтобы принять отчет об уязвимостях в качестве проекта рекомендаций по GitHub. При выборе этого параметра:

      • Это не делает отчет общедоступным.
      • Отчет становится проектом рекомендаций по безопасности репозитория, и вы можете работать с ним так же, как и с любым проектом рекомендаций, которые вы создаете. Дополнительные сведения о рекомендациях по безопасности см. в разделе Сведения о рекомендациях по безопасности репозитория.

    • Чтобы запросить дополнительную информацию или начать обсуждение с репортером, вы можете прокомментировать рекомендации. Любые комментарии видны только репортеру и всем участникам, которые работают над рекомендациями.

    • Если у вас достаточно информации, чтобы определить, что проблема, описываемая репортером, не является угрозой безопасности, нажмите кнопку Закрыть советы по безопасности. По возможности следует добавить комментарий, объясняющий, почему вы не считаете отчет угрозой безопасности, прежде чем закрывать рекомендации.

      Снимок экрана: параметры, доступные ответственный за репозиторий при просмотре отчета об уязвимостях, отправленного извне.

ПредыдущийКонфиденциальное сообщение об уязвимости системы безопасностиСледующаяНастройка частных отчетов об уязвимостях для репозитория